„Skupiny pridružené k Severnej Kórei dominujú v prostredí detekcie hrozieb,“ uviedla spoločnosť Trellix vo svojej správe. Neslávne známa Lazarus Group vedie zoznam a tvorí 8,6 % detekcií Trellixu, pričom Andariel a Kimsuky obsadili druhé a tretie miesto. Spoločne tvoria skupiny pridružené k Severnej Kórei 18,2 % všetkej štátom sponzorovanej aktivity, ktorú Trellix identifikoval. Trellix uviedol, že toto zistenie predstavuje významnú eskaláciu v kybernetickej aktivite Severnej Kórey, a poznamenal, že operátori krajiny sledujú opatrné a ťažko odhaliteľné stratégie prieniku, vrátane schém vzdialených pracovníkov IT.
Čítajte viac FBI obvinila Severnú Kóreu z krádeže kryptomien za rekordných 1,5 miliardy dolárov
Všeobecne platí, že skupiny štátnych hackerov sa podľa správy vyhýbajú malvéru a zraniteľnostiam v prospech techník „života mimo územia“ (living-off-the-land techniques). Vstavané funkcie systému Windows, konkrétne Command Prompt (Príkazový riadok) a PowerShell, obsadili prvé miesta v zozname najčastejšie používaných nástrojov hackerov. Trellix uviedol, že to je v súlade s „používaním pokročilých stratégií vyhýbania sa, navrhnutých tak, aby splynuli s bežnou sieťovou aktivitou.“ Spoločnosť uviedla, že jej správa o hrozbách odhalila „vyspelý ekosystém (pokročilých perzistentných hrozieb, tzv. APT) so zavedenými preferenciami nástrojov, neustálou inováciou a jasným zosúladením so strategickými spravodajskými cieľmi.“
Čítajte viac Severokórejci chceli sfalšovať juhokórejské vojenské identifikačné preukazy
Odporúčania pre kybernetickú bezpečnosť
Na riešenie tohto prostredia hrozieb musia podľa Trellixu bezpečnostní lídri „implementovať vrstvenú obranu“, ktorá dokáže detekovať vlastné útočné nástroje a zneužitie legitímnych procesov. To zahŕňa:
- Detekčný softvér, ktorý dokáže identifikovať anomálie správania pomocou kontextových informácií.
- Princípy nulovej dôvery (Zero-Trust), ako je napríklad prístup s najmenšími oprávneniami.
- Izolácia kritických aktív s vysokou hodnotou.
Správcovia systémov by mali tiež prísne vynucovať prístup k privilegovaným účtom, ktoré sú hlavnými cieľmi hackerov snažiacich sa pohybovať v sieti. „Spolupráca medzi tímami SOC (Security Operations Center), IT a spravodajskými tímami pre hrozby zabezpečuje, že jemné odchýlky, ako je neobvyklé používanie príkazového riadku alebo laterálny pohyb prostredníctvom legitímnych poverení, sú identifikované včas,“ uviedol Trellix.
Čítajte viac Severokórejské podvody s IT pracovníkmi sa rozširujú do Európy a Japonska
Ciele a obete
Správa tiež zistila, že sektor telekomunikácií bol hlavným cieľom kyberzločincov aj štátnych hackerov, na ktorý pripadalo 71 % útokov. V prvej päťke sa ďalej umiestnili technológie, doprava, obchodné služby a financie. Zaujímavé je, že Turecko zaznamenalo najviac detekcií obetí štátneho hackingu (33 %), pričom USA skončili na druhom mieste (24 %). Trellix sa domnieva, že dominantné postavenie Turecka odráža „koordinované kampane potenciálne súvisiace s jeho strategickou pozíciou medzi Európou a Áziou, jeho kritickou infraštruktúrou a regionálnym geopolitickým napätím.“ Hackeri sa prevažne zamerali na turecké telekomunikačné siete, zatiaľ čo aktivita v USA bola rozložená rovnomernejšie medzi technologické a obchodné služby. „Organizácie čelia vyspelému ekosystému APT, ktorý sa vyznačuje perzistentnými, cielenými kampaňami s jasnou geopolitickou motiváciou,“ uviedol Trellix. „Koncentrácia aktivity v sektoroch kritickej infraštruktúry, v kombinácii s dominanciou aktérov sponzorovaných štátom, naznačuje, že operácie APT sú čoraz viac zosúladené s cieľmi národnej bezpečnosti namiesto čisto finančných motívov.“
